验证存储指标文档的索引是否包含在默认 Elastic Security 索引 (securitySolution:defaultIndex) 中。存储指标文档的索引将根据您收集指标数据的方式而有所不同。
- Elastic Agent 集成 - logs_ti*
- Filebeat 集成 - filebeat-*
确保您正在摄取的指标数据已映射到 Elastic 通用架构 (ECS)。

这些故障排除步骤也适用于威胁情报视图。

将指标添加到“指标”页面后，您可以检查、搜索、筛选指标数据并对其采取行动。指标还会出现在“趋势”视图中，该视图在图例中显示总值。

单击 查看详情，然后打开指标详情浮层，即可了解有关指标的更多信息。浮层包含以下信息选项卡：

概述：指标的摘要，包括指标名称、其来源的威胁情报源、指标类型以及其他相关数据。

某些威胁情报源提供交通灯协议 (TLP) 标记。TLP 标记 和 置信度 字段如果源未提供这些数据，则为空。
表格：表格格式的指标数据。
JSON：JSON 格式的指标数据。

在时间线中调查指标，以识别和预测环境中的相关事件。您可以从“指标”表或指标详情浮层中将指标添加到时间线。

将指标添加到时间线时，将打开一个新的时间线，其中包含自动生成的 KQL 查询。该查询包含您选择的指标字段值对以及自动映射的源事件的字段值对。默认情况下，查询的时间范围设置为指标 timestamp 前后七天。

下图显示了在时间线中调查的文件哈希指标。指标字段值对为：

threat.indicator.file.hash.sha256 : 116dd9071887611c19c24aedde270285a4cf97157b846e6343407cf3bcec115a

自动生成的查询包含指标字段值对（前面已提到）和自动映射的源事件字段值对，即：

file.hash.sha256 : 116dd9071887611c19c24aedde270285a4cf97157b846e6343407cf3bcec115a

查询结果显示具有匹配 file.hash.sha256 字段值的警报，这可能表明环境中存在可疑或恶意活动。

将指标附加到案例可为您的调查提供更多上下文和可用操作。此功能使您可以轻松地与其他团队共享或升级威胁情报。

要将指标添加到案例：

在“指标”表中，单击 更多操作 (…) 菜单。或者，打开指标的详细信息，然后选择 采取行动。
选择以下一项：
- 添加到现有案例：在 选择案例 对话框中，选择要将指标附加到的案例。
- 添加到新案例：配置案例详细信息。请参考打开新案例，了解有关打开新案例的更多信息。
指标将作为新评论添加到案例中。

将指标附加到案例时，指标将作为包含以下详细信息的新评论添加：

指标名称：单击链接的名称以打开指标详情浮层，其中包含以下选项卡：
- 概述：威胁指标的摘要，包括其名称和类型、其来源的威胁情报源以及其他相关数据。
  
  某些威胁情报源提供交通灯协议 (TLP) 标记。TLP 标记 和 置信度 字段如果源未提供这些数据，则为空。
- 表格：表格格式的指标数据。
- JSON：JSON 格式的指标数据。
源名称：从中提取指标的威胁源。
指标类型：指标类型，例如 file 或 .exe。

要删除附加到案例的指标，请在案例评论中单击 更多操作 (…) 菜单 → 删除附件。

将指标值添加到阻止列表以阻止选定的应用程序在您的主机上运行。您可以使用 file 类型指标中的 MD5、SHA-1 或 SHA-256 哈希值。

您可以从“指标”表或指标详情浮层中将指标值添加到阻止列表。在“指标”表中，选择 更多操作 (…) 菜单 → 添加阻止列表条目。或者，打开指标的详细信息，然后选择 采取行动 菜单 → 添加阻止列表条目。

有关阻止列表条目的更多信息，请参考阻止列表。